安全與信任

範圍。 本頁內容概述 SG Systems GlobalV5 可追溯性及相關服務的安全性和信任狀況，包括 託管服務 以及 本地安裝 根據適用的訂單表格/已簽署的提案中的選擇。

文檔層級（優先順序）。 若有衝突，則以以下文件為準：

• （1）訂單/已簽署的提案 （範圍、部署選擇、層級選擇、生效日期）；
• （2）供應商品質附加條款（SQA） （受監管/GxP 營運結構），僅以引用方式納入本次合作時方可適用；
• （3）主服務協定（MSA） （法律/商業框架、服務等級協議、安全義務、客戶資料條款）。

合約協調。 本頁僅供參考，不修改合約條款。任何服務等級指標、通知時限和具有約束力的義務均在主服務協議/服務等級協定 (MSA/SLA) 和適用的訂單（以及其中包含的服務品質保證 (SQA)）中定義。

遠程優先運營。 SG Systems Global 公司以遠端優先的方式運作。管控措施著重於身分識別、存取管理、安全終端使用以及系統受控管理。

安全聯絡人： support@sgsystemsglobal.com

SG Systems Global 維護基於風險的資訊安全計劃，旨在保護客戶資料和服務的機密性、完整性和可用性，並支援在受監管的製造環境中運作。

項目要素包括：

• 問責制和監督： 明確了安全責任歸屬，以確保控制有效性、升級流程和糾正措施。
• 風險管理： 識別和評估風險、選擇控制措施以及追蹤補救活動。
• 政策和程序控制： 針對安全相關活動（訪問、變更控制、事件處理、連續性）所製定的規範。
• 定期檢討： 隨著系統、威脅和客戶期望的變化，安全措施會不斷審查和更新。

職責取決於您在訂單/已簽署的提案中選擇的部署方式。 V5 可追溯性解決方案可以以託管服務或本地部署的形式交付。

參考文獻： 海事局, 品質保證, 系統需求.

存取控制旨在支援最小權限原則、問責制和受控管理。在受監管的環境中，存取控制是一種綜合性的機制。 技術 以及 程序 學科。

• 基於角色的存取： 權限按角色分配，以使功能與工作職責相符。
• 獨特的問責制： 使用者應具有唯一識別；應禁止使用共享憑證。
• 訪問治理： 客戶在其標準作業程序 (SOP) 中控製配置/取消配置、角色設計和定期存取權限審查。
• 特權存取： 行政權限僅限於出於營運需求而獲得授權的人員。

V5 可追溯性支援以可追溯性為導向的記錄保存，旨在支援受監管電子記錄通常期望的控制行為，包括可歸因行為、審計追蹤行為、記錄完整性控制以及在適用和配置的情況下的電子簽名行為。

獨立評估（21 CFR 第 11 部分背景）。 V5 可追溯性包含一份獨立的評估文件，旨在支援供應商資格認證和 CSV 討論。參見： 獨立 21 CFR 第 11 部分評估.

SG Systems Global 透過符合保密性、完整性和可用性目標的行政、技術和合約控制措施，保障客戶資訊安全。合約保密性、客戶資料權利和隱私處理條款（如適用）均受主服務協議 (MSA) 及相關文件的約束。

• 保密： 旨在防止未經授權揭露客戶資訊的控制措施。
• 完整性： 旨在維護記錄完整性並支援可審計的可追溯性的控制措施。
• 庫存： 根據選定的部署類型採取適當的操作控制措施；託管服務目標（如適用）在 MSA/SLA 中定義。

有關具有約束力的保密和客戶資料條款，請參閱以下內容： 海事局.

V5 可追溯性採用受控實務進行開發和維護，旨在為受監管的客戶支援可靠且可審計的發布狀態。

SDLC 控制摘要包括：

• 受控變更引入： 變更在發布前會經過規劃、實施和審查。
• 審查紀律： 程式碼和設定變更在部署前需經過審核。
• 環境隔離： 開發/測試和生產活動受到控制，以降低未經授權變更的風險。
• 發布文件： 發布說明描述了實質變更，並在相關情況下描述了驗證注意事項。

SG Systems Global 採用受控的變更管理方法，以支援可預測的服務交付和受監管的使用預期。

變更管理控制概要包括：

• 變更評估： 評估變更對客戶的潛在影響，包括在適用情況下考慮監管影響。
• 審核紀律： 生產變更須經書面授權後方可發布。
• 部署控制： 託管服務部署由提供者控制；本地部署由客戶控制。
• 緊急變更： 為應對當前威脅，必要時可進行緊急安全變更；此類變更將依照合約條款進行記錄和溝通。

具有約束力的變更控制條款在以下文件中定義： 海事局 並且，在已納入相關法規的情況下， 品質保證.

SG Systems Global 透過識別、分類、修復和驗證來管理漏洞，並根據嚴重性和可利用性進行優先排序。

漏洞管理控制措施概要包括：

• 分診與優先排序： 評估範圍、嚴重性、可利用性和對客戶的潛在影響。
• 補救措施： 套用修復/補丁，並在適當的版本文件中記錄重大變更。
• 通訊： 客戶溝通遵循 MSA/SQA 中的合約和營運結構。

如需通報疑似漏洞或安全性問題，請發送電子郵件至[電子郵件地址] support@sgsystemsglobal.com 主題： Security Concern.

SG Systems Global 維護事件管理和安全事件回應流程，旨在支援快速分類、遏制、調查和客戶溝通，包括記錄完整性可能受到影響的受監管使用考量。

事件管理控制概要包括：

• 分類： 根據事件的嚴重程度以及對機密性、完整性和可用性的潛在影響，對事件進行評估和分類。
• 升級： 對於嚴重程度較高的事件和受監管影響的問題，將採取升級途徑。
• 調查： 調查結果均有紀錄，重大事件需事後檢討。
• 糾正措施： 追蹤糾正措施，以降低復發風險。

報告管道： support@sgsystemsglobal.com如果懷疑有受監管記錄/資料完整性問題，請包括： Potential GxP / data integrity impact.

連續性和復原預期取決於部署類型。對於託管服務，適用的可用性和復原目標（如有）在主服務協議/服務等級協定 (MSA/SLA) 和訂單中定義。對於本地部署，除非另有書面約定，否則客戶負責備份、災難復原和復原測試。

連續性控制摘要包括：

• 已記錄的恢復方法： 已記錄的復原程序與選定的部署模型一致。
• 備份完整性意圖： 旨在支援可恢復性並降低定義範圍內的資料遺失風險的控制措施。
• 恢復測試目的： 根據託管邊界和服務設計，定期進行恢復準備活動。

託管服務可能由訂單/已簽署的提案中指定的第三方供應商提供。供應商對子處理者的使用以及隱私處理條款（如適用）受主服務協議 (MSA) 和任何適用的資料處理附錄 (DPA) 的約束。

• 子處理器： 根據旨在保護客戶資料並遵守保密義務的書面協議進行合作。
• 數據處理： 法律要求時，隱私權條款將透過資料處理協議（DPA）予以規定，該協議以引用方式納入法律，並可應要求提供。
• 系統邊界： 根據託管部署和本地部署的不同，職責也會有所不同，具體職責以合約形式規定。

SG Systems Global 透過與系統邊界和部署類型相符的文件和結構化回复，支援客戶盡職調查和供應商資格認證。對於受監管/GxP項目，SQA（如已納入）定義了品質營運框架，包括審核支援結構和受監管用途責任。

• 資格支持： 提供回饋和資料以支援客戶的供應商資格認證工作流程。
• 審計合作： 須遵守 MSA/SQA 中規定的保密性和合理安排。
• 獨立評估： 評估員編寫的資料支持第 11 部分的討論和控制評估。

參考文獻： 品質保證 | 海事局 | 獨立評估

為支援盡職調查和供應商資格審查，可能會向客戶和合格的潛在客戶提供額外的安全和合規文件，但須遵守保密義務（主服務協議）以及（如適用）保密協議條款。

可根據要求提供以下文件範例（如適用）：

• 變更管理和發布文件摘要
• 事件回應概要符合合約義務
• 備份/災難復原連續性概要與部署邊界保持一致
• 獨立評估文件（21 CFR 第 11 部分）
• 子處理商名單和資料保護協定範本（如適用）
• 根據要求填寫結構化問卷（SIG/CAIQ 格式）。

本頁僅供參考，不構成合約條款的修改。